网闸中隔离控制技术的几个发展方向
网闸不同于防火墙,也不同于堡垒机,是因为网闸从物理上保证内外网的不互通,其中隔离控制部分是实现这个物理隔离的关键。这里重点分析目前流行的几种技术:
1、摆渡交换技术
摆渡开关是网闸最常用的倒换方式。为了保持内外网的物理隔离,所以在与内网连接的时候,一定与外网断开,但与外网连接的时候,一定与内网断开。所谓断开是只物理通讯的“高阻”状态或物理的停电,没有进行通讯的可能。
在内外网处理单元内都有自己的缓冲空间,用来存储需要交换的数据文件,在隔离与交换控制单元也有一个用于数据交换区。当电子开关C点与A点连通,交换区与内网连通,此时与外网断开,内网中需要交换的数据写入数据交换区,同时读出数据交换区中从外网来的数据,完成一次摆渡。但电子开关C点与B点连通,交换区与外网连通,此时与内网断开,外网中需要交换的数据写入数据交换区,同时读出数据交换区中从内网来的数据,完成二次摆渡。
很多厂家实现了多个网络的数据交换的网闸,则把电子开关换成交换矩阵。数据的交换方式有些类似数据交换机的方式,但每个网络处理单元只与数据缓冲区中的一个连接。因为每个网络单元同时只与一个数据交换区连接,每个数据交换区也同时只与一个网络单元连接,所以各个网络没有个一个时刻是相互连通。网络处理单元从缓冲区读数据时,只从自己的对应缓冲区读取,写数据时写入目标网络对应的缓冲区。
2、缓冲区通讯技术的选择
内部通道与网闸外部接口选择不同通讯技术,可以既形象又完全地中断应用连接,对阻断攻击是较好的选择。网闸内部有三个数据区域、两种内部通道,合理地选择通讯技术,可以大大减少被攻击的可能性。网闸厂家一般不公开自己的实现方式,私密性有助于网闸的安全性。但大多数是在内部通道2上做文章
这里总结了几种实现的方式:
基于常用通讯总线的方式
内外接口采用工控主机方式,主机把要交换的数据通过PCI总线写入PCI插卡,在PCI插卡有数据缓冲区域,电子开关是CPLD实现的控制电路,控制内部通道1与2的开闭。内部通道2可以选择不同是通讯总线连接,比如PCI、USB、串口通讯等,也可以选择网络方式,在图中表示为数据传输专用协议。图中显示的是二区模型示例。
数据缓冲存储可以选择双端口的静态存储器(Dual Port SRAM),这样只要在存储器的两个端口上控制就可以了,但两个开关不能同时闭合。